In den vergangenen Monaten ist immer wieder die Diskussion um die digitalen Kekse aufgekommen. Landesaufsichtsbehörden, der Europäische und der Bundesgerichtshof äußern sich dazu, der Gesetzgeber bereitet ein entsprechendes Gesetz vor. Was ist aber eigentlich an diesen Cookies das Besondere, dass sie so viel Aufmerksamkeit erhalten? Wir versuchen, ein wenig Licht ins Dunkel zu bringen.
Ohne Online-Tools geht wenig
Wenn man heute als Unternehmen eine Webseite betreibt, geht nichts ohne kleine Helferlein. Ob es der Spam-Schutz in Form von Google reCaptcha bei Kontaktformularen, das eingebettete Youtube-Video, der Facebook-Like-Button oder gar die Schriftarten sind: alle diese Tools erheben Daten des Webseitenbesuchers.
Was passiert beim Tracking?
Besonders eifrig in punkto Datenerhebung sind die sog. Tracking-Tools, zu denen z.B. Google Analytics gehört. Mit Hilfe dieser Tools versuchen die Betreiber von Webseiten, mehr über ihre Besucher zu erfahren. Dazu gehört beispielsweise der Standort, der Verlauf des Webbrowsers oder die zuvor besuchte Webseite. Aber auch Alter, Geschlecht, Vorlieben, Likes – also alles, was sich anhand des Surfverhaltens ablesen lässt – sind für Seitenbetreiber und Online-Vertrieb von hohem Interesse. Daraus lassen sich u.a. Besucherprofile ableiten, so dass passgenau Werbung eingespielt werden kann. Genauso wird erkennbar, welche Produkte sich der Besucher im Online-Shop angeschaut hat oder an welcher Stelle er den Kaufprozess abgebrochen hat.
Um diese Daten zu erheben und deren Analyse überhaupt vornehmen zu können, werden bei Aufruf der jeweiligen Webseite kleine Dateien auf dem Rechner des Besuchers platziert und dort gespeichert: die berühmt-berüchtigten Cookies. Diese Dateien ermöglichen es, dass der Seitenbesucher bei erneutem Besuch der Homepage schnell identifiziert werden kann. Dabei laufen diese Daten nicht nur beim Webseitenbetreiber auf, sondern auch beim Anbieter/Hersteller des eingesetzten Software-Tools. Im Falle von Google Analytics also bei Google bzw. bei Einsatz von Facebook Pixel bei Facebook. Leicht nachvollziehbar, dass hierbei gigantische Datenmengen entstehen (vgl. auch „Snowmobile“).
Problemstellungen beim Tracking
Damit entstehen Probleme gleich in mehrfacher Hinsicht:
- es ist nicht klar, was mit den erhobenen Daten geschieht und
- noch weniger deutlich ist, wer diese Daten erhält
So ist es beispielsweise möglich, dass Seitenbesuchern in ihrer Facebook-Timeline die exakt passende Werbung oder das zu ihren Interessen passende politische Statement eingespielt wird. Berüchtigt hierzu ist der Fall „Cambridge Analytica“ aus 2016, die im großen Stil Daten über potentielle Wähler sammelten und auswerteten, um durch individuelle Botschaften das Wählerverhalten zu beeinflussen (sog. Mikrotargeting).
Darum sollten dringend die Antennen ausgefahren werden, wenn auf einer Webseite ein knappes, ohne Erläuterungen gehaltenes Cookie-Banner angeklickt werden soll. Noch besser (aber nur im ironischen Sinn) ist die häufig noch anzutreffende Banner-Variante „Durch die Nutzung unserer Seite sind Sie damit einverstanden, dass…“. Hier bedarf es keinerlei Aktion des Seitenbesuchers, es wird direkt getrackt.
BGH schiebt der indirekten Einwilligung einen Riegel vor
Der Bundesgerichtshof hat in seinem Urteil vom 28.05.2020 dieser weit verbreiteten Praxis eine klare Absage erteilt. „Eine Einwilligung werde in Kenntnis der Sachlage… erteilt“, heißt es in dem Urteil. D.h. der Verbraucher MUSS wissen, dass seine Erklärung ein Einverständnis darstellt und worauf sich dieses Einverständnis bezieht. Dies ist bei einem „Einverständnis durch Weitersurfen“ definitiv nicht gegeben. Gleichfalls liegt entsprechend diesem Urteil keine wirksame Einwilligung vor, wenn der Nutzer seiner Einwilligung aufgrund voreingestellter Ankreuzkästchen abwählen muss.
Vorliegender Gesetzentwurf verschärft die Anforderungen
Doch mit der höchstrichterlichen Rechtsprechung nicht genug. Nach Jahren der Untätigkeit in punkto Umsetzung der EU-Richtlinie 2009/136/EG (E-Privacy-Richtlinie) hat das Bundeswirtschaftsministerium im Juli einen „Entwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der elektronischen Kommunikation und bei Telemedien sowie zur Änderung des Telekommunikationsgesetzes, des Telemediengesetzes und weiterer Gesetze“ (TT-DSG) vorgelegt.
Mit diesem Gesetzentwurf fasst der Gesetzgeber das ungefragte Setzen von Cookies in enge Grenzen. Nach Art. 9 des Entwurfs wird dies künftig NUR dann erlaubt, wenn der Nutzer informiert wurde und er eingewilligt hat. Dazu formuliert der Gesetzgeber lediglich drei Ausnahmen:
- Vorliegen einer technischen Erfordernis
- Ausdrückliche vertragliche Vereinbarung mit dem Nutzer und
- Erfüllung gesetzlicher Verpflichtungen
In allen anderen Fällen ist eine wirksame Einwilligung des Nutzers vor dem Setzen von Cookies erforderlich. Zur Wirksamkeit werden im Absatz 3 des Art. 9 zwei Voraussetzungen genannt:
- Information des Nutzers, welche Informationen zu welchem Zweck wie lange auf dem Gerät des Nutzers gespeichert werden und ob Dritte darauf Zugriff haben, und
- Aktive Bestätigung dieser Information durch den Nutzer
Auswirkungen für die Praxis auf Webseiten
Sollte dieser Entwurf ohne Änderungen verabschiedet werden, hätte dies weitreichende Folgen für viele Betreiber von Webseiten. Die bisher deutlich überwiegende Handhabung des Trackens:
- durch (Weiter-)Nutzung der Webseite oder
- durch nachträgliches Abwählen in Form eines Häkchenlöschen in der Datenschutzerklärung oder
- durch vollständig uninformierte Verwendung von Tracking-Tools
sollte damit beendet werden.
Webseitenbetreiber sollten daher abwägen, ob ein Tracking-Tool auch weiterhin verwendet werden muss oder darauf verzichtet werden kann. Soll eine Weiterverwendung erfolgen, bedarf es des Einsatzes eines professionellen Consent-Instruments.